Lawline svarar
Hej och tack för att du vänder dig till Lawline med din fråga!
Från och med 25 maj 2018 började dataskyddsförordningen (nedan förkortad GDPR) att gälla för samtliga av EU:s medlemsländer. Jag kommer nedanför redogöra för vissa specifika artiklar (som nedan kommer förkortas art.) för att kunna besvara din fråga.
GDPR och dess reglering gällande behandling av personuppgifter
I förordningen återfinns alltifrån principer för behandling av personuppgifter (art. 5) till laglig behandling av personuppgifter (art. 6) för att enbart nämna några exempel.
Definition "personuppgift"
I förordningens art. 4 går det att finna en definition för "personuppgift" vilken innefattar varje upplysning som avser en identifierad eller identifierbar person. En identifierare kan vara ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikation eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Principer för behandling av personuppgift
Det som inledningsvis kan sägas är att det inte finns några konkreta generella tidsaspekter gällande hur länge man måste spara en personuppgift. Däremot finns det ett flertal vägledande principer som man måste arbeta utifrån vid behandling av personuppgifter, och går att återfinna i art. 5 punkt 1 a-f GDPR. Principerna är följande:
a) Principen om laglighet, korrekthet och öppenhet —> uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade personen.
b) Principen om ändamålsbegränsning —> uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
c) Principen om uppgiftsminimering —> uppgifterna som behandlas ska vara överensstämmande, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
d) Principen om korrekthet —> uppgifterna ska vara korrekta och om nödvändigt uppdaterade, och rimliga åtgärder så som att radera eller rätta måste vidtas om personuppgifterna är felaktiga i förhållande till de ändamål för vilka de behandlas.
e) Principen om lagringsminimering —> uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade personen under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som de enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
f) Principen om integritet och konfidentialitet —> uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna.
Laglig behandling av personuppgifter
I art. 6 punkt 1 a-f GDPR återfinns ett flertal villkor, varav åtminstone ett måste vara uppfyllt för att behandlingen av personuppgifter ska anses vara laglig. Villkoren är följande:
a) Den registrerade har lämnat samtycke till att dennes personuppgifter behandlas för ett/flera specifika ändamål.
b) Behandlingen av uppgifterna är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intresse, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade personen är ett barn.
Med andra ord behöver man alltid ha ett lagligt och motiverat syfte till varje behandling av personuppgifter och detta är upp till varje verksamhet att definiera samt identifiera vid en behovsbedömning gällande att bevara personuppgifter. Vad som kan sägas för att mer konkret svara på din fråga är att personuppgifter inte får förvaras under en längre tid än vad som är nödvändigt.
Behandling av särskilda kategorier av personuppgifter
Vidare bör nämnas vilka personuppgifter som i huvudsak är förbjudna att behandla. Dessa går att återfinna i art. 9 punkt 1 GDPR. Uppgifter som är förbjudna att behandla är:
- uppgifter som avslöjar ras/etniskt ursprung,
- uppgifter om politiska åsikter,
- uppgifter om religiös eller filosofisk övertygelse
- uppgifter om medlemskap i fackförening
- genetiska uppgifter
- biometriska uppgifter för att identifiera en fysisk person,
- uppgifter om hälsa,
- uppgifter om en persons sexualliv/sexuella läggning
Det innebär att en personalakt innehållande ovanstående personuppgifter inte är lagenlig och behandling av sådan uppgift är förbjuden. Observera dock att det finns undantag från förbudet men dessa kommer jag inte gå närmare in på då de är väldigt omfattande. De går dock att läsa i art. 9 punkt 2 a-j GDPR.
Det som sammanfattningsvis kan sägas är att när en anställd slutar på ett företag ska all information om denne som inte är nödvändig att spara, omedelbart tas bort.
Jag hoppas du fick svar på din fråga. Du är välkommen att ställa en ny fråga om du skulle ha någon mer fundering.
Med vänlig hälsning,
